sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。

通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,您可以识别恶意或异常活动,并了解入侵者和恶意软件在您的网络上如何操作。

适用于Win7 , Server 2008 及以上系统

参考文献:

Sysmon介绍

http://www.freebuf.com/sectool/122779.html

Sysmon官方下载

https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

results matching ""

    No results matching ""